Adobe Creative Cloud: 7,5 Millionen Nutzerdaten öffentlich

Publiziert am 27. Oktober 2019 von Günter Born

Datenpanne bei Adobe: Adobe hat eine Datenbank mit 7,5 Millionen Datensätzen von Anwendern der Adobe Creative Cloud gesichert. Diese Sicherung war in keiner Weise geschützt, und frei im Netz abrufbar.

Anzeige

Öffentlich gemacht hat dies Paul Bischoff, ein Journalist, der auf comparitech.com diesen Artikel veröffentlichte (Bleeping Computer berichtet hier). Entdeck wurde die ungeschützte Backup-Kopie vom Sicherheitsforscher Bob Diachenko. Dieser stieß über Elasticsearch auf die ungeschützte Datenbank, die ohne Kennwort oder andere Authentifizierung per Internet einsehbar war.

Datensätze
(Datensätze, Zum Vergrößern klicken)

Die Datenbank enthielt 7,5 Millionen Nutzerdaten von Adobe Creative Cloud-Nutzern. Die exponierten Benutzerdaten enthielten keine Zahlungsinformationen oder Kennwörter, aber folgende Einträge:

  • E-Mail-Adressen
  • Erstellungsdatum des Kontos
  • Welche Adobe-Produkte der Nutzer verwendet
  • Abonnement-Status
  • Ob es sich bei dem Benutzer um einen Adobe-Mitarbeiter handelt.
  • Mitglieds-IDs
  • Land
  • Zeit seit der letzten Anmeldung
  • Zahlungsstatus

Die in diesem Leck enthaltenen Informationen könnten in gezielten Phishing-E-Mails und Betrugsfällen gegen Adobe Creative Cloud-Anwender verwendet werden. Betrüger könnten sich als Adobe oder ein verbundenes Unternehmen ausgeben und Benutzer dazu verleiten, weitere Informationen wie z.B. Passwörter preiszugeben.

Anzeige

Sicherheitsforscher Diachenko informierte Adobe nach der Entdeckung der exponierten Daten und umgehend am 19. Oktober 2019. Adobe hat noch am gleichen Tag die betreffende Instanz der Datenbank auf dem ElasticSearch-Seerver gegen unauthorisierte Zugriffe gesichert.

Hintergrundinformationen

Comparitech führt Sicherheitsforschungen durch, bei denen das Web nach exponierten Datenbanken durchsucht wird. Wenn eine nicht ordnungsgemäß gesicherte Datenbank aufdeckt wird, die einen unbefugten Zugriff ermöglicht, benachrichtigen die Sicherheitsforscher sofort den Eigentümer.

Unser Ziel ist es, potenzielle Schäden für Endverbraucher zu minimieren. Bob Diachenko nutzt seine umfangreiche Cybersicherheitserfahrung, um Verstöße schnell aufzudecken, die Daten zu analysieren und die verantwortliche Organisation aufzuspüren.

Sobald die Datenbank durch den Eigentümer gesichert oder entfernt wurde, veröffentlicht die Seiten einen Bericht über den Sicherheitsvorfall, um die betroffenen Benutzer zu informieren und sie auf die Risiken aufmerksam zu machen. Ergänzung: Bei heise findet sich dieser deutschsprachige Beitrag zum Thema.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.